VPN
Le VPN de la plateforme Mirox fournit un accès distant sécurisé aux réseaux internes des différentes centrales. Plutôt que de maintenir un profil VPN distinct pour chaque centrale, chaque utilisateur reçoit un seul profil VPN personnel grâce auquel toutes les centrales pour lesquelles il est autorisé deviennent accessibles. Les modifications d'autorisations, les nouvelles centrales, les nouveaux sous-réseaux ou les coopérations révoquées se répercutent automatiquement dans le profil VPN — sans que l'utilisateur ait à le réinstaller.
Concept
Le VPN repose sur WireGuard, un protocole VPN moderne, léger et chiffré, et il est conçu comme un tunnel d'authentification unique personnel vers tous les réseaux de centrales accordés :
- Un profil par utilisateur : chaque utilisateur authentifié peut émettre exactement un profil VPN personnel et l'installer sur son appareil. La plateforme appelle ce profil votre certificat VPN — c'est le nom commercial de votre paire de clés WireGuard personnelle ; WireGuard lui-même utilise des paires de clés plutôt que des certificats X.509.
- Cryptographie moderne : WireGuard utilise un échange de clés Curve25519 (X25519) et un chiffrement authentifié. Votre clé privée est générée sur votre propre appareil et n'est jamais stockée par Mirox — Mirox ne voit jamais que votre clé publique.
- Tunnel partagé (split tunnel) : seul le trafic destiné aux réseaux privés des centrales entre dans le tunnel. Votre trafic Internet habituel — courrier électronique, web, visioconférence — reste sur votre propre connexion et ne transite jamais par Mirox.
- Gestion automatique des routes : l'ensemble des sous-réseaux de centrales accessibles est dérivé dynamiquement de vos autorisations en cours (rôle d'organisation, fonction, coopérations). Toute modification d'autorisation met automatiquement à jour l'ensemble des routes.
- Haute disponibilité : le tunnel se termine sur une infrastructure multi-régions à haute disponibilité et se rétablit automatiquement vers un point d'entrée sain si celui qu'il utilise vient à défaillir.
Ce que le VPN apporte
Tunnel personnel vers toutes les centrales accordées
Une fois le profil VPN installé, l'utilisateur peut adresser tous les réseaux de centrales pour lesquels il dispose d'autorisations — exactement comme s'il était physiquement sur site. Cela couvre généralement :
- Les interfaces web des onduleurs, contrôleurs de trackers, enregistreurs de données, PC d'armoire de commande
- L'accès SSH aux équipements de service
- Les outils de diagnostic Modbus / TCP contre les composants du réseau de la centrale
- Les propres outils de l'utilisateur qui communiquent directement avec l'infrastructure de la centrale
Plusieurs centrales avec des sous-réseaux locaux qui se chevauchent (par exemple deux centrales utilisant toutes deux 192.168.1.0/24) sont automatiquement désambiguïsées par le système, de sorte qu'aucune confusion n'est possible.
Cycle de vie du certificat
L'utilisateur contrôle directement son certificat via l'interface de la plateforme :
- Émettre : crée un nouveau profil VPN. Le fichier de configuration complet contenant la clé privée est affiché une seule fois dans le navigateur et n'est jamais stocké dans le cloud.
- Faire pivoter : remplace le jeu de clés sans supprimer le certificat. Utile par exemple lors d'un changement d'appareil ou en cas de suspicion de compromission. La nouvelle clé privée n'est, là encore, affichée qu'une seule fois.
- Révoquer : désactive immédiatement le certificat. Toutes les connexions en cours sont interrompues au prochain cycle de synchronisation. La trace d'audit du certificat est conservée pendant la durée de rétention légalement obligatoire.
Conflits de routes et contrôle par route
Les sous-réseaux accessibles découlent de vos autorisations et sont tenus à jour automatiquement (voir Comment vos routes restent à jour). Deux leviers restent entre vos mains :
- Les conflits entre deux centrales qui utilisent le même sous-réseau local sont signalés de manière visible dans l'aperçu des routes. Vous décidez laquelle des centrales en conflit est prioritaire pour vous.
- Les routes individuelles peuvent être temporairement désactivées par vous, par exemple pour atteindre l'une après l'autre deux centrales aux plages de sous-réseau identiques.
Aperçu des sessions
L'utilisateur dispose d'un aperçu de session dédié pour son propre certificat au sein de la plateforme :
- Connexions actuelles avec heure de connexion, source géographique et volume de données transféré
- Sessions historiques pour la traçabilité
- Région et nœud du point de terminaison (pour un diagnostic de latence facile)
Cet aperçu est la vue de transparence personnelle de l'utilisateur sur son propre certificat. La trace d'audit de conformité complète — conçue pour répondre aux exigences de journalisation des accès distants KRITIS et NIS2 de l'UE — est tenue séparément par l'exploitant de la centrale et ne fait pas partie de cette vue — voir Journalisation d'audit.
Sécurité et contrôle
Qui peut émettre un certificat ?
Tout utilisateur authentifié peut émettre son propre certificat — mais le certificat seul ne suffit pas à atteindre une centrale. Seules les autorisations accordées via le système d'autorisations (rôle d'organisation, fonction, coopération) ouvrent réellement des routes.
Qui peut atteindre quelle centrale ?
L'accès VPN au niveau réseau est délibérément la capacité la plus strictement encadrée de la plateforme. Les sous-réseaux d'une centrale sont ajoutés à votre profil VPN uniquement lorsque vous détenez la fonction Exploitant sur cette centrale. Il s'agit d'une règle unique et faisant autorité — disposer d'un profil VPN, ou pouvoir consulter une centrale, n'ouvre jamais une route à lui seul.
Vous détenez la fonction Exploitant sur une centrale lorsqu'elle vous est accordée de l'une de ces manières :
- Directement — la fonction Exploitant vous est attribuée sur cette centrale ou ce portefeuille spécifique.
- Héritée via votre organisation — les Admins et Modérateurs d'organisation correspondent à la fonction Exploitant sur les centrales propres à leur organisation.
- Via une coopération — une autre organisation partage une centrale avec vous et la coopération accorde la fonction Exploitant ; un technicien externe disposant de la fonction Exploitant sur une centrale partagée obtient les mêmes routes que le personnel propre de la centrale.
Toute autre fonction s'arrête avant la route réseau, par conception :
| Fonction | Route VPN réseau ? | Ce qu'elle obtient à la place |
|---|---|---|
| Exploitant | Oui | Une route WireGuard vers les réseaux de la centrale |
| Technical Manager (Asset Manager (Technical)) | Non | Le Proxy navigateur vers les interfaces web des équipements, la visibilité du journal d'audit des accès et la gestion des services VPN de l'organisation |
| Asset Manager (Commercial), Spectateur, simples membres, invités, utilisateurs externes sans la fonction | Non | Aucun chemin vers le réseau de la centrale |
Le résultat est une conception en paliers claire : les Exploitants obtiennent un accès VPN au niveau réseau, les Technical Managers travaillent via le Proxy navigateur et surveillent qui a atteint quoi dans le journal d'audit des accès, et tous les autres n'ont aucune route vers le réseau de la centrale.
Garde des clés
- La clé privée est générée dans le navigateur de l'utilisateur et ne quitte jamais l'appareil.
- Mirox ne connaît que la clé publique de l'utilisateur et l'IP de tunnel qui lui est attribuée.
- Lors d'une rotation ou d'une révocation, les anciennes clés sont invalidées côté serveur immédiatement.
Comment vos routes restent à jour
Votre liste de centrales accessibles n'est jamais quelque chose que vous maintenez à la main. Elle est dérivée de vos autorisations en temps réel, et Mirox garde les deux parfaitement synchronisées automatiquement :
- Recalculée dès qu'une autorisation change. Lorsque la fonction Exploitant vous est accordée sur une nouvelle centrale — directement, via votre organisation ou via une coopération — votre ensemble de routes est recalculé à cet instant précis, dans la même étape que la modification d'autorisation elle-même.
- Les nouvelles centrales apparaissent sans rien re-télécharger. Vous installez votre profil VPN une seule fois. Les centrales nouvellement autorisées apparaissent dans votre liste d'accessibles en quelques secondes — vous n'avez jamais à réimporter ou réinstaller la configuration pour accéder à une centrale.
- Les accès retirés sont supprimés et le chemin est démonté. Lorsqu'une autorisation est retirée — une coopération prend fin, votre fonction change, une centrale est supprimée — les routes correspondantes sont supprimées et le chemin réseau vers cette centrale est démonté en quelques secondes. Aucune action manuelle n'est requise.
- Une vérification périodique en arrière-plan contrôle à nouveau tout le monde. Indépendamment de ces mises à jour instantanées, un contrôle planifié en arrière-plan revérifie l'accès de chaque utilisateur sur un cycle récurrent et corrige toute route qui aurait dérivé, de sorte que votre ensemble d'accessibles reflète toujours vos autorisations réelles.
Disponibilité multi-régions
Le VPN personnel est conçu pour une haute disponibilité. Il fonctionne sur plusieurs régions de centres de données indépendantes, avec plusieurs serveurs VPN WireGuard dans chaque région, de sorte qu'il n'existe aucun point de défaillance unique. L'architecture de la plateforme est conçue pour offrir une disponibilité de 99,999 %.
- Basculement automatique. Votre tunnel se rattache toujours à un point d'entrée sain. Si l'un devient indisponible, votre connexion est rétablie automatiquement vers un autre serveur sain — vous n'avez rien à reconfigurer.
- Sélection de la meilleure région. Lorsque vous vous connectez, vous êtes acheminé vers un point d'entrée offrant une bonne accessibilité pour votre emplacement, sélectionné de manière transparente par le système.
- Agents de centrale supervisés. L'agent de supervision de chaque centrale — le composant sur site ou dans le cloud par lequel transite le trafic VPN — est supervisé par une couche d'orchestration qui vérifie en continu que l'agent existe et est prêt. Si un agent défaille, il est automatiquement redéployé ou relocalisé vers un hôte sain, de sorte qu'une défaillance d'un seul hôte ne met pas une centrale hors ligne longtemps.
L'agent de la centrale est le point d'entrée unique
Tout le trafic VPN vers une centrale transite par l'agent de supervision propre à cette centrale. L'agent est le point d'étranglement entre Mirox et le réseau de la centrale, et la conception maintient cette frontière hermétique :
- L'agent ne se connecte qu'en sortie vers Mirox. Il ouvre une connexion sortante vers la plateforme ; le réseau de la centrale n'a jamais à exposer un port entrant vers Internet pour que l'accès VPN fonctionne.
- Pas d'agent, pas d'accès. Une centrale est tout simplement inaccessible via VPN tant que son agent n'est pas en ligne. Jusque-là, la centrale apparaît comme « pas encore accessible » dans votre liste de routes et devient active automatiquement dès que l'agent se connecte.
- Limité à sa propre centrale. Chaque agent est confiné au réseau de sa propre centrale. Il est l'unique voie d'accès à cette centrale et ne franchit jamais la frontière vers le réseau d'une autre centrale ou d'une autre organisation.
Isolation entre centrales et organisations
Mirox exploite le VPN comme une infrastructure de plateforme partagée, mais le trafic de chaque utilisateur est strictement confiné :
- Votre tunnel ne transporte que vos propres routes. Chaque connexion est servie par son propre ensemble de routes isolé, dérivé uniquement de vos autorisations Exploitant.
- Les sous-réseaux non autorisés ne sont jamais routés. Les réseaux de centrales pour lesquels vous n'êtes pas autorisé ne sont pas seulement bloqués — il n'existe d'emblée aucune route vers eux, donc aucun chemin pour les atteindre.
- Les organisations ne peuvent pas se voir entre elles. Comme l'accessibilité est dérivée par utilisateur à partir de ses propres autorisations, les organisations partageant la plateforme ne peuvent jamais voir les réseaux de centrales les unes des autres.
- Défense en profondeur contre le balayage. En plus de l'isolation des routes par utilisateur, les points d'entrée VPN appliquent une limitation de débit qui protège contre le balayage et le sondage du réseau.
Audit et conformité
Chaque accès via le VPN est intégralement audité par le système Mirox. La trace d'audit capture :
- Quel utilisateur s'est connecté, quand et depuis où
- Quels sous-réseaux de centrale ont été atteints pendant la session
- Quels équipements spécifiques (IP, protocole, port) ont été sollicités et à quelle fréquence
- Quel volume de données a été transféré par session et par sous-réseau
La trace d'audit est conservée pendant au moins 730 jours et n'est accessible qu'à l'organisation exploitante responsable de la centrale concernée — et non à l'utilisateur connecté lui-même. Elle est conçue pour répondre aux exigences de journalisation des accès distants des règles KRITIS allemandes et de la directive NIS2 de l'UE ; les enregistrements d'audit ne peuvent être ni modifiés ni supprimés par les utilisateurs. Pour plus de détails, voir Journalisation d'audit des accès.
Distinction avec les fonctionnalités associées
Mirox propose plusieurs variantes d'accès distant faciles à confondre. Le VPN personnel décrit sur cette page est l'une des cinq ; le tableau indique à quoi sert chacune et qui la contrôle.
| Variante | Objectif | Qui la contrôle ? |
|---|---|---|
| VPN personnel (cette page) | Un tunnel personnel unique qui atteint chaque réseau de centrale pour lequel vous êtes autorisé | Vous, dans la limite de vos autorisations |
| Service VPN d'organisation | Un tunnel partagé géré par l'organisation, déployé dans une région, avec les centrales acheminées au travers pour toute l'équipe | Administrateur ou modérateur d'organisation |
| VPN direct de centrale — sortant | L'agent de la centrale se connecte au VPN distant existant d'un client, afin que Mirox puisse atteindre un réseau hébergé par le client | Administrateur ou modérateur d'organisation |
| VPN direct de centrale — hébergement | L'agent de la centrale héberge un point de terminaison VPN accessible publiquement auquel des sites distants se connectent ; Mirox provisionne automatiquement les clés et les certificats | Administrateur ou modérateur d'organisation |
| Proxy navigateur | Ouvrez l'interface web d'un équipement directement depuis le navigateur, sans client VPN à installer | Exploitant de la centrale (configure les cibles web) |
Le VPN personnel est l'outil adapté pour le personnel technique qui doit utiliser des outils quelconques de manière productive contre des équipements répartis sur plusieurs centrales. Le Proxy navigateur est le bon choix lorsque seule l'interface web d'un équipement doit être ouverte — sans installation de VPN, directement depuis le navigateur. Les VPN d'organisation et VPN directs de centrale sont des tunnels au niveau de l'infrastructure, gérés de manière centralisée, plutôt qu'un profil personnel que vous emportez avec vous.
Fonctionnalités associées
- Proxy — accès basé sur le navigateur aux équipements de centrale sans client VPN
- Journalisation d'audit des accès — trace d'audit complète de tous les accès VPN et Proxy
- Système d'autorisations — contrôle quel utilisateur atteint quelles centrales
- Coopérations — partage de centrales avec des organisations tierces
- Inspecteur de réseau local — vérifications côté plateforme de l'accessibilité du réseau de la centrale
- FAQ Accès distant — réponses aux questions courantes sur l'accès VPN et Proxy, le routage, l'isolation et la disponibilité